[Eisfair] certs_dehydrated Wechsel auf dns-01

Detlef Paschke schabau at t-online.de
Sa Feb 11 14:53:39 CET 2023 

Am 11.02.2023 um 10:14 schrieb Juergen Edner:
> Hallo Detlef,

Hallo Juergen,

>> ...
>>   + Handling authorization for schabau.eu
>> ERROR: Validating this certificate is not possible using dns-01.
>> Possible validation methods are: http-01
>> -> Executing hook script 'exit_hook' ...
> 
> ich habe leider keine Erfahrung mit der 'dns-01'-Einstellung, jedoch 
> birgt dieses Prüfungsverfahren nach meinem Verständnis das Risiko, dass 
> eine DNS-Aktualisierung nicht zeitnah auf alle möglichen DNS-Server 
> synchronisiert wird. D.h. vermutlich muss eine Wartezeit nach dem 
> Aktualisieren des DNS-Eintrags eingefügt werden, was bei Verwendung von 
> 'http-01' oder 'tls-alpn-01' verständlicherweise nicht erforderlich ist.

Mit http-01 gibt es (vermutlich seit dem letzten Apache update) nach
jedem Aufruf der Konfiguration Probleme, bevor nicht ein händischer
Eingriff in die /var/www/htdocs/certs_dehydrated erfolgt und so war für
mich eine Alternative angezeigt.

Bei tls-alpn-01 ist es ähnlich wie bei dns-01, im Grunde ist es nicht
beschrieben. Es muss wohl irgend ein Server irgendwo sein. Aber wie, wo
und was Konfiguriert wird...? Ebenso wie bei dns-01, wird wohl ein
einfaches DEHYDRATED_CHALLENGE_TYPE='tls-alpn-01' nicht ausreichend
sein. Den DNS TXT-Record kenne ich, so hatte dns-01 für mich Vorrang.

Eine Wartezeit habe ich angegeben, nach eigenen Tests, ist bei meinem
Anbieter aber fast keine Wartezeit nötig. Ich habe jetzt nur noch 10
Sek. angegeben.

Bei Testweisem schreiben des TXT-Record und unmittelbarem Aufruf mit
dig -t txt schabau.eu
wird der TXT-Record sofort und vollständig ausgegeben.

Wenn ich es recht begreife, hätte anderenfalls DEHYDRATED_MODE='test'
auch gar kein positives Ergebnis gebracht, weil der TXT-Record dort ja
ebenso abgefragt wird. Es wird halt nur ein ungültiges Zertifikat erstellt.

> Eventuell findet sich Dein DNS-Provider im Wiki des Projektes:
> 
> https://github.com/dehydrated-io/dehydrated/wiki

Ist nicht dabei, ich hatte mir dort aber ein paar Anregungen für mein
Script zusammen gesucht.

In anderen Diskussionen habe ich zwischenzeitlich finden können, dass
auch bei anderen, beim Wechsel von http-01 auf dns-01, diese Meldung
aufgetaucht ist. Wenn das Zertifikat zu neu ist, wirft Let’s Encrypt
wohl diese Meldung aus. Meine Zertifikate sind gerade aktuell und es ist
bei mir jetzt alles auf dns-01 umgestellt. Nun warte ich, bis meine
Zertifikate wieder Update berechtigt sind, und werde sehen, ob das
Update fehlerfrei durchläuft.

> Gruß Jürgen

-- 
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu

Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu

Mehr Informationen über die Mailingliste Eisfair